NIS2 et intelligence artificielle : les obligations concrètes pour les PME françaises
15 000 entreprises concernées, sanctions jusqu'a 10 M€ - voici ce que vous devez faire maintenant

Analyse NIS2 par 2LKATIME - Auditeurs certifiés ANSSI
Cet articlé est basé sur notre expérience terrain d'accompagnement de PME et ETI françaises dans leur mise en conformité NIS2. Nos auditeurs (OSCP, OSEP, 16+ ans d'expérience) ont analyse les obligations de l'articlé 21 et leur impact concret sur les organisations qui déployént de l'IA.
La directive NIS2 est entrée en vigueur en France en octobre 2024. Un an et demi plus tard, la majorité des PME concernées n'ont toujours pas débuté leur mise en conformité NIS2 - alors que l'ANSSI a ouvert son portail d'enregistrement obligatoire en avril 2026 et que les premières sanctions tombent. Entre 15 000 et 18 000 entreprises françaises sont dans le scope, avec des amendes pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial.
Ce guide vous explique en termes concrets si votre PME est concernée, ce que NIS2 impose précisément sur vos outils d'intelligence artificielle, les 10 obligations à mettre en place, les sanctions réelles encourues et un plan d'action en 3 étapes pour démarrer sans vous noyer dans la technicité réglementaire.
1. Votre PME est-elle dans le scope NIS2 ?
NIS2 (Network and Information Security 2) est la refonte de la directive européenne sur la cybersécurité des infrastructures critiques. Sa transposition française - baptisée RCyFR (Règlement Cyber France) - a été publiée par l'ANSSI en mars 2026. Contrairement à NIS1 qui ne touchait qu'une centaine d'opérateurs, NIS2 élargit massivement le périmètre.
15 000+
entités françaises concernées
18
secteurs d'activité couverts
10 M€
amende max entité essentielle
72h
délai notification incident
Deux critères cumulatifs déclénchent l'assujettissement. Le premier est la taille : votre organisation compte 50 salariés ou plus, ou dépasse 10 millions d'euros de chiffre d'affaires annuel. Le second est le secteur : vous opérez dans l'un des 18 secteurs couverts par la directive.
Secteurs Annexe I - Entités Essentielles (EE)
- - Energie (électricité, gaz, pétrôle, hydrogène)
- - Transports (aérien, ferroviaire, maritime, routier)
- - Secteur bancaire et infrastructures financières
- - Santé (hopitaux, laboratoires, pharma)
- - Eau potable et eaux usées
- - Infrastructure numérique (datacenters, DNS, cloud)
- - Administrations publiques
- - Espace
Secteurs Annexe II - Entités Importantes (EI)
- - Services postaux et messagerie
- - Gestion des déchets
- - Fabrication industrielle (médical, auto, chimie, agroalimentaire)
- - Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
- - Recherche (universités, labos privés)
- - Prestataires IT et ESN (si >50 salariés)
Point clé souvent manqué : les sous-traitants et prestataires d'entités essentielles peuvent eux aussi être qualifiés d'entités importantes, même sans être dans un secteur listé. Si vous fournissez un service critique à une banque, un hopital ou une collectivité, vous entrez potentiellement dans le scope NIS2. L'ANSSI statue au cas par cas.
2. NIS2 et IA : pourquoi l'intelligence artificielle complique tout
La majorité des guides NIS2 parlent de réseau, de pare-feu et de PCA. Ils oublient un élément central de 2026 : vos outils d'intelligence artificielle sont désormais des systèmes d'information à part entière, soumis aux mêmes obligations de sécurisation que votre infrastructure traditionnelle.
L'articlé 21 de la directive impose explicitement la sécurisation de la "chaine d'approvisionnement". Or, un agent IA qui se connecte à des APIs tierces (OpenAI, Anthropic, Azure OpenAI) ou un outil d'automatisation n8n qui traité des données clients constitue bien une chaine d'approvisionnement au sens NIS2. Cela signifie que vous devez évaluer le niveau de sécurité de chaque fournisseur IA que vous utilisez.
Agents IA autonomes en production
Un agent IA qui prend des décisions sans supervision humaine (validation de commandes, triage d'alertes, réponse automatique à des emails clients) doit faire l'objet d'une analyse de risques documentée. NIS2 exige que tout système critique soit auditable et que les incidents soient traçables. Un agent IA sans logs structurés n'est pas conforme.
LLM et données sensibles
Si vos équipes utilisent ChatGPT, Claude ou Copilot pour traitér des données clients, des contrats ou des informations financières, NIS2 vous impose de documenter ces usages, d'évaluer les risques de fuite et de mettre en place des contrôles d'accès. L'utilisation non encadrée des LLM grand public constitue une non-conformité directe.
Automatisations n8n et workflows IA
Les workflows d'automatisation qui connectent votre CRM, votre ERP et des APIs IA créent des flux de données transverses difficiles a auditer. NIS2 exige une cartographie précise de ces flux, une évaluation des risques par maillon et une procédure de gestion d'incident si un workflow IA produit des résultats errones ou est compromis.
Modèles IA déployés on-premise
Les PME qui déploient des modèles open source (Gemma, Mistral, LLaMA) sur leur infrastructure interne doivent appliquer les mêmes règles de sécurisation que pour n'importe quel serveur critique : mises à jour régulières, contrôle d'accès strict, journalisation des requêtes et plan de continuité si le modèle tombe.
NIS2 s'articule avec l'AI Act entré en application en 2025. Les deux réglementations se complètent : NIS2 sécurisé vos systèmes IA, l'AI Act qualifie et documente leur niveau de risque. Notre articlé AI Act 2026 : obligations PME françaises détaille cette complémentarité.
3. Les 10 obligations NIS2 articlé 21 - ce que ca signifie concrètement
L'articlé 21 de la directive NIS2 liste 10 mesures minimales que toute entité concernée doit mettre en place. Voici leur traduction concrète pour une PME de 50 a 500 salariés, sans le jargon juridique.
Politique de sécurité et analyse de risques documentée
Vous devez rédiger une politique de sécurité approuvée par la direction, et réaliser une analyse de risques formelle sur vos systèmes d'information. Ce n'est pas un document de communication interne : c'est un registre auditable qui identifie vos actifs critiques, les menaces associées et vos mesures de traitément.
Gestion des incidents et notification sous 72h
Tout incident significatif doit être notifié à l'ANSSI dans les 72 heures. Vous devez donc avoir une procédure de détection, de qualification et d'escalade. La notification tardive est elle-même une infraction passible de sanctions.
Continuité d'activité (PCA/PRA)
Un Plan de Continuité d'Activité et un Plan de Reprise d'Activité doivent exister, être testés régulièrement et couvrir les scénarios de cyberattaque. Pour les PME qui utilisent des agents IA en production, le PCA doit inclure un plan de bascule si l'IA est compromise ou indisponible.
Sécurité de la chaine d'approvisionnement
Vous devez évaluer le niveau de sécurité de vos fournisseurs critiques : hébergeur, éditeurs logiciels, fournisseurs d'API IA, prestataires de maintenance. Un questionnaire de sécurité fournisseur et des clauses contractuelles adaptées sont le minimum requis.
Security by design dans les développements
Tout nouveau développement ou intégration - y compris un agent IA, un workflow d'automatisation ou une API interne - doit intégrer la sécurité dès la conception. Les tests de sécurité avant mise en production ne sont plus optionnels.
Audits de sécurité réguliers
NIS2 impose des audits périodiques de vos systèmes. Pour les entités essentielles, ces audits peuvent être imposés par l'ANSSI. Pour les entités importantes, vous devez pouvoir démontrer que vous réalisez des évaluations régulières - pentest annuel, audit de configuration, revue des accès.
Formation et sensibilisation des collaborateurs
La direction et les équipes IT doivent recevoir une formation régulière aux risques cyber. Les utilisateurs d'outils IA doivent spécifiquement être formés aux risques de prompt injection, de fuite de données via LLM et de manipulation des agents automatisés.
Chiffrement des données sensibles
Les données sensibles doivent être chiffrées au repos et en transit. Si vos agents IA stockent des données clients dans une basé de données, cette basé doit être chiffrée. Si des données transitent vers une API LLM externe, la connexion TLS doit être vérifiée et les données minimisées.
Contrôles d'accès et authentification renforcée
L'authentification multi-facteurs (MFA) est dans les faits obligatoire sur tous les accès critiques. Les comptes de service utilisés par les agents IA doivent suivre le principe du moindre privilège : un agent IA n'a accès qu'aux ressources strictement nécessaires a sa mission.
Sécurité des ressources humaines
Vérification des antécédents pour les postes critiques, procédures d'onboarding et offboarding sécurisées, gestion des accès lors des départs. Un collaborateur qui quitte l'entreprise doit voir ses accès révoqués immédiatement - y compris ses accès aux outils IA et workflows automatisés.
4. Sanctions NIS2 : ce que vous risquez concrètement
Les sanctions NIS2 ne sont pas symboliques. L'ANSSI dispose de pouvoirs d'enquête, de mise en demeure et d'amende. Voici le tableau comparatif des risques selon votre catégorie.
| Type de sanction | Entité Essentielle (EE) | Entité Importante (EI) |
|---|---|---|
| Amende administrative | jusqu'a 10 M€ ou 2% CA mondial | jusqu'a 7 M€ ou 1,4% CA mondial |
| Audit obligatoire imposé | Oui, par l'ANSSI | Sur décision de l'ANSSI |
| Injonction de mise en conformité | Oui, avec délai imposé | Oui, avec délai imposé |
| Suspension temporaire d'activité | Oui (cas graves) | Non prévu |
| Notification retardée d'incident | Sanction autonome | Sanction autonome |
| Responsabilité dirigeant | Oui, personnelle possible | Oui, personnelle possible |
Un point souvent ignoré : la responsabilité personnelle des dirigeants. NIS2 prévoit explicitement que la direction puisse être tenue personnellement responsable en cas de défaillance grave dans la mise en conformité. Ce n'est pas une hypothèse théorique - la directive encourage les Etats membres à mettre en place ces mécanismes de responsabilisation individuelle.
Les PME basées a Paris, Lyon et Lille dans les secteurs de la fabrication industrielle, de la logistique ou des services numériques sont parmi les plus exposées aux contrôles ANSSI, du fait de la concentration sectorielle dans ces métropoles. L'ANSSI a annonce des campagnes de contrôle régionales pour 2026-2027.
5. Plan d'action NIS2 en 3 étapes pour PME
La mise en conformité NIS2 n'est pas un projet de 6 mois si vous l'abordez méthodiquement. Voici le plan en 3 étapes que nous appliquons chez nos clients PME, avec des délais réalistes.
Qualification et enregistrement ANSSI
Utilisez le portail ILR de l'ANSSI pour déterminer si vous êtes entité essentielle ou importante. L'auto-déclaration est obligatoire. En parallèle, cartographiez rapidement vos systèmes d'information critiques et vos usages IA : c'est la basé de l'analyse de risques qui suivra.
Livrable attendu : fiche de qualification validée + inventaire des actifs critiques.
Audit de conformité et analyse de risques
Réalisez un audit de votre posture de sécurité actuelle face aux 10 obligations de l'articlé 21. Pour chaque obligation, évaluez votre niveau de maturité (absent, partiel, conforme) et estimez l'effort de mise en conformité. Incluez explicitement vos systèmes IA dans le périmètre d'audit.
Livrable attendu : rapport d'audit avec gap analysis et plan de remédiation priorisé.
Mise en oeuvre et documentation
Déployez les mesures correctives par ordre de criticité. Commencez par ce qui est rapide et a fort impact : MFA sur tous les comptes, politique de sauvegarde testée, procédure de notification des incidents. Documentez chaque action - la traçabilité est ce que l'ANSSI vérifiera en priorité en cas de contrôle.
Livrable attendu : politique de sécurité validée, PCA/PRA documenté, registre des risques, formation équipes réalisée.
Pour les PME qui déployént de l'IA, une étape complémentaire s'ajoute : la qualification de chaque usage IA selon les grilles NIS2 et AI Act. Notre approche combine audit NIS2 et audit IA en un seul sprint pour éviter la duplication des efforts et réduire les coûts de mise en conformité.
FAQ - NIS2 et PME françaises
Mon entreprise est-elle concernée par NIS2 ?
Votre entreprise est concernée si elle compte 50 salariés ou plus (ou un CA supérieur a 10 M€) ET qu'elle opère dans l'un des 18 secteurs couverts. En France, entre 15 000 et 18 000 entités sont dans le scope. Les sous-traitants d'entités essentielles peuvent également être qualifies d'entités importantes par l'ANSSI, même hors secteur listé.
Quelles sont les sanctions si je ne me conforme pas a NIS2 ?
Les amendes peuvent atteindre 10 millions d'euros ou 2% du CA mondial pour les entités essentielles, et 7 millions d'euros ou 1,4% du CA pour les entités importantes. L'ANSSI peut également imposer des audits obligatoires, des mesures correctives sous délai et, dans les cas graves, des restrictions d'activité. La responsabilité personnelle des dirigeants est expressément prévue par la directive.
NIS2 s'applique-t-elle a mes outils d'intelligence artificielle ?
Oui. Tout système IA utilise dans des processus critiques est soumis aux obligations NIS2 de sécurisation, traçabilité et gestion des incidents. L'articlé 21 impose la sécurisation de la chaine d'approvisionnement, ce qui inclut explicitement les fournisseurs d'IA (OpenAI, Anthropic, Microsoft Azure...). Les agents IA autonomes doivent faire l'objet d'une analyse de risques documentée.
Quelle est la différence entre NIS2 et AI Act ?
NIS2 couvre la cybersécurité opérationnelle de votre réseau et systèmes d'information. L'AI Act encadre la conformité des systèmes d'IA selon leur niveau de risque. Les deux réglementations se complètent : NIS2 impose de sécuriser vos systèmes IA, l'AI Act impose de les qualifier et documenter. Une PME qui déploie des agents IA doit se conformer aux deux simultanément.
Par où commencer pour se mettre en conformité NIS2 ?
Première étape : déterminez votre qualification via le portail ILR de l'ANSSI. Deuxième étape : réalisez une analyse de risques documentée sur vos actifs critiques, en incluant vos outils IA. Troisième étape : mettez en place les mesures correctives par ordre de criticité. Un audit NIS2 par un prestataire expérimenté vous permet de partir sur une basé fiable et de comprimer le délai de mise en conformité a 8-12 semaines.
Votre PME est dans le scope NIS2 et vous ne savez pas par où commencer ?
2LKATIME accompagne les PME et ETI françaises dans leur mise en conformité NIS2 + AI Act avec une approche combinée qui réduit les coûts et les délais. Nos auditeurs certifiés ANSSI (OSCP, OSEP, 16+ ans d'expérience) réalisent l'audit de votre posture de sécurité, incluant vos systèmes IA, et vous livrent un plan de remédiation priorisé et budgeté en moins de 3 semaines.